從設(shè)計(jì)角度談無人機(jī)表演安全

胡寶棋

【摘 要】 綜合考慮無人機(jī)演出安全系統(tǒng)架構(gòu)中的各種因素，利用矩陣分析的方法，從設(shè)計(jì)的角度，分析無人機(jī)表演中可 能出現(xiàn)的事件或事故，提出無人機(jī)表演中的風(fēng)險(xiǎn)預(yù)判、安全控制以及規(guī)范化應(yīng)用的方法和措施。

【關(guān)鍵詞】 無人機(jī)；安全系統(tǒng)；地理區(qū)域；嚴(yán)重等級(jí)；風(fēng)險(xiǎn)分析；風(fēng)險(xiǎn)控制

文章編號(hào)： 10.3969/j.issn.1674-8239.2017.05.011

【Abstract】This paper introduces 35 items of possible failure in design view of UAV show using matrix by safety layers， geographic zones and severity levels in the safety system. It has a certain guiding significance for the risk prediction and safety control in the performance of the UAV， and the standardized application of this new thing.

【Key Words】Unmanned Aviation Vehicles （UAV）； security system； geographic zones； severity level； risk analysis； risk control

1 概述

目前無人機(jī)（Unmanned Aerial Vehicle）技術(shù)發(fā)展很快，大規(guī)模集群應(yīng)用的情況越來越廣泛，例如航拍、送貨、機(jī)場(chǎng)、港口、大型集會(huì)、觀禮慶典、軍事等，無人機(jī)表演已經(jīng)開始出現(xiàn)在越來越多的活動(dòng)場(chǎng)合。近期，在重慶萬達(dá)城，101架無人機(jī)表演在嘉陵江畔的夜空中畫下精美的3D圖案（圖1）。英特爾公司在德國(guó)舉辦的無人機(jī)燈光音樂會(huì)（圖2），繪寫下精美的文字，同時(shí)也開創(chuàng)了無人機(jī)演出的先河。

無人機(jī)表演最重要的一點(diǎn)是能夠安全運(yùn)行操作，航空主管部門已針對(duì)無人機(jī)的運(yùn)行推出了一系列措施。安全問題不容妥協(xié)，因此，安全應(yīng)作為驅(qū)動(dòng)因素，成為設(shè)計(jì)的一部分。硬件、軟件、美學(xué)、程序、資源、運(yùn)輸、培訓(xùn)、維修等均應(yīng)納入安全評(píng)估范圍。

2 無人機(jī)演出安全系統(tǒng)架構(gòu)

2.1 安全系統(tǒng)

（1）投資保護(hù)系統(tǒng)（IPS），包含兩個(gè)層級(jí)（L1、L2）。

L1：可自動(dòng)檢測(cè)故障并以緊急迫降形式發(fā)出適當(dāng)動(dòng)作指令的非認(rèn)證軟件系統(tǒng)。

L2：為飛行指揮官提供硬件和/或軟件按鈕，使其能指揮無人機(jī)演出上的無人機(jī)單獨(dú)或集體停機(jī)，并緊急迫降或關(guān)閉所有發(fā)動(dòng)機(jī)的人工操作監(jiān)管系統(tǒng)。所有指令的通信均通過地面站和非認(rèn)證的無線電和/或無線網(wǎng)絡(luò)信道發(fā)出。

（2）人類與環(huán)境保護(hù)系統(tǒng)（HPS），包含一個(gè)層級(jí)（L3）。

L3：可通過無線電控制使無人機(jī)演出上的所有無人機(jī)均緊急停機(jī)（終極開關(guān)）的人工監(jiān)管系統(tǒng)。心跳站（地面站的組成部分）和機(jī)載端均采用認(rèn)證軟件進(jìn)行緊急停機(jī)。保活信息通過無線網(wǎng)絡(luò)和無線電廣播渠道，從心跳站發(fā)送至無人機(jī)。終極開關(guān)推上時(shí)，心跳系統(tǒng)的電源就會(huì)被切斷，造成保活信息中斷，導(dǎo)致無人機(jī)機(jī)載緊急停機(jī)系統(tǒng)切斷發(fā)動(dòng)機(jī)驅(qū)動(dòng)的啟動(dòng)信號(hào)，從而使發(fā)動(dòng)機(jī)立即停止運(yùn)轉(zhuǎn)，并使無人機(jī)演出的所有無人機(jī)墜落。

需強(qiáng)調(diào)的是，人類與環(huán)境保護(hù)系統(tǒng)僅為備份方案，只有當(dāng)投資保護(hù)系統(tǒng)在極罕見的情況下失效時(shí)方可采用，而投資保護(hù)系統(tǒng)只有在多個(gè)獨(dú)立故障同時(shí)發(fā)生時(shí)才可能失效。

2.2 地理區(qū)域

為明確安全措施，對(duì)靜態(tài)地理區(qū)域作出以下界定。

（1）飛行區(qū)：唯一容許無人機(jī)飛行的區(qū)域。本區(qū)域由水平邊界和高度限制組成，而水平邊界則由一組直線構(gòu)成。

（2）投資保護(hù)系統(tǒng)緩沖區(qū)：飛行區(qū)周圍的第一個(gè)區(qū)域。雖然無人機(jī)不得在本區(qū)域內(nèi)飛行，但是無法嚴(yán)格保證無人機(jī)遵守該安全規(guī)定。如檢測(cè)到無人機(jī)進(jìn)入本區(qū)域，無人機(jī)控制器會(huì)立即關(guān)閉其發(fā)動(dòng)機(jī)。投資保護(hù)系統(tǒng)的目的在于將無人機(jī)控制在本區(qū)域和飛行區(qū)的組合內(nèi)。

投資保護(hù)系統(tǒng)緩沖區(qū)特征長(zhǎng)度：飛行區(qū)與公共緩沖區(qū)之間的最短距離。

（3）公共緩沖區(qū)：飛行區(qū)周圍的第二個(gè)區(qū)域。雖然無人機(jī)不得在本區(qū)域內(nèi)飛行，但是無法嚴(yán)格保證無人機(jī)遵守該安全規(guī)定。投資保護(hù)系統(tǒng)的目的在于防止無人機(jī)進(jìn)入本區(qū)域。如檢測(cè)到無人機(jī)進(jìn)入本區(qū)域，終極開關(guān)操作員會(huì)推上終極開關(guān)，使所有無人機(jī)立即墜落。投資保護(hù)系統(tǒng)緩沖區(qū)的每條外部邊界線均應(yīng)由兩名終極開關(guān)操作員實(shí)施監(jiān)控。

公共緩沖區(qū)特征長(zhǎng)度：公共區(qū)與投資保護(hù)系統(tǒng)緩沖區(qū)之間的最短距離。本區(qū)域具有最短特征長(zhǎng)度，應(yīng)時(shí)刻遵守。其最小值依彈道測(cè)試而定。

（4）公共區(qū)：除飛行區(qū)、投資保護(hù)系統(tǒng)緩沖區(qū)和公共緩沖區(qū)以外的區(qū)域。無人機(jī)不得在本區(qū)域內(nèi)飛行，由終極開關(guān)操作員通過操作確保該安全規(guī)定得以嚴(yán)格遵守。

（5）起降區(qū)：無人機(jī)演出的無人機(jī)在飛行區(qū)內(nèi)起飛和降落的位置。

圖3展示了地理區(qū)域的一般布局，具體依無人機(jī)演出的實(shí)際情況而定。

2.3 嚴(yán)重等級(jí)

首先界定與風(fēng)險(xiǎn)嚴(yán)重等級(jí)直接相關(guān)的事件和事故（摘自996/2010號(hào) 歐盟條例）。

事件指的是除事故以外，與飛行器的操作有關(guān)，且影響或可能影響操作安全的事情。

事故指的是與飛行器的操作有關(guān)并發(fā)生在飛行器準(zhǔn)備起飛至飛行器結(jié)束飛行且主推進(jìn)系統(tǒng)關(guān)閉期間的事情，其中包括以下情況。

（1）某人因以下原因發(fā)生致命或嚴(yán)重傷害：直接接觸飛行器的任意部位，包括從飛行器上分離出來的部件；或直接暴露在噴氣中（螺旋槳的噪聲或氣流），自然原因、自己或他人造成的傷害除外。

（2）飛行器發(fā)生損壞或結(jié)構(gòu)性故障，從而對(duì)其結(jié)構(gòu)強(qiáng)度、性能或飛行特性產(chǎn)生不利影響，且通常需要進(jìn)行大規(guī)模維修或更換受損元件；或飛行器失蹤或完全失聯(lián)。

嚴(yán)重等級(jí)可作如下界定。

① 低嚴(yán)重性

N1：所有無人機(jī)均可飛行。

N2：并非所有無人機(jī)均可飛行（拒絕或無法起飛）。

② 中等嚴(yán)重性（事件）

I1：在需運(yùn)行定位系統(tǒng)標(biāo)記位置方可抵達(dá)下一個(gè)疏散出口點(diǎn)時(shí)，無人機(jī)通過位置控制，沿疏散軌跡實(shí)施疏散降落。

I2：無人機(jī)通過水平位置控制，實(shí)施即時(shí)緊急降落，而垂直速度控制需運(yùn)行定位系統(tǒng)位置。

I3：無人機(jī)通過水平速度控制，實(shí)施即時(shí)緊急降落，而垂直速度控制需運(yùn)行定位系統(tǒng)速度。

I4：無人機(jī)通過姿態(tài)控制，實(shí)施緊急降落，而垂直速度控制需運(yùn)行慣性測(cè)量單元和氣壓表。

I5：無人機(jī)實(shí)施非標(biāo)行為，且未采取疏散或應(yīng)急措施。

③ 高嚴(yán)重性（事故）

A0：無人機(jī)在投資保護(hù)系統(tǒng)緩沖區(qū)內(nèi)飛行或著陸時(shí)損壞。

A1：無人機(jī)離開投資保護(hù)系統(tǒng)緩沖區(qū)，且終極開關(guān)已推上。

A2：無人機(jī)離開投資保護(hù)系統(tǒng)緩沖區(qū)，但終極開關(guān)未推上。

A3：無人機(jī)造成致命或嚴(yán)重的人身傷害。

如無人機(jī)仍遵守規(guī)定的界線，但行為不穩(wěn)定，則可能使所有事件等級(jí)惡化。在風(fēng)險(xiǎn)分析中，如預(yù)計(jì)會(huì)發(fā)生不穩(wěn)定行為，則該事件會(huì)加注符號(hào)“u”，例如“I2u”表示無人機(jī)通過不穩(wěn)定的水平位置控制，實(shí)施緊急降落。

3 無人機(jī)演出風(fēng)險(xiǎn)分析

本風(fēng)險(xiǎn)分析涉及以下故障。

（1）源自無人機(jī)演出系統(tǒng)功能架構(gòu)的功能硬件組成部分（螺旋槳、電池、處理器、天線、通信設(shè)備傳感器等）。

（2）機(jī)載發(fā)電機(jī)微控制器內(nèi)的發(fā)動(dòng)機(jī)驅(qū)動(dòng)軟件。

（3）機(jī)載可編程邏輯內(nèi)的位置控制軟件。

（4）機(jī)載處理器內(nèi)的插補(bǔ)通信軟件。

（5）地面站系統(tǒng)。

除另有說明，本風(fēng)險(xiǎn)分析假設(shè)了以下基本原則。

（1）每次只存在一種故障模式。

（2）分析的所有項(xiàng)目的輸入值（包括軟件指令）均以標(biāo)稱值呈現(xiàn)。

（3）標(biāo)稱動(dòng)力有效。

如同時(shí)出現(xiàn)兩種或以上的故障，則分別進(jìn)行處理，并整合成有案可查的附加故障模式。

3.1 故障的可能性

每個(gè)故障模式均有一定的發(fā)生概率，代表每架無人機(jī)發(fā)生故障的可能性。故障在一段時(shí)間內(nèi)發(fā)生的可能性是該概率乘以無人機(jī)在此期間飛行的次數(shù)所得的數(shù)值（表1）。

3.2 風(fēng)險(xiǎn)分析矩陣

下面采用風(fēng)險(xiǎn)分析矩陣法，從機(jī)載設(shè)備、通信、軟件漏洞、飛行軌跡位置、地面設(shè)施等五個(gè)方面進(jìn)行故障分析，并給出控制措施（表2）。

4 結(jié)語(yǔ)

雖然無人機(jī)及其控制系統(tǒng)是專門針對(duì)安全操作而設(shè)計(jì)的，并且有了如上的風(fēng)險(xiǎn)分析控制措施，但安全問題仍不可小覷，如有可能，還可利用安全網(wǎng)對(duì)無人機(jī)演出和公眾進(jìn)行物理隔離。隨著無人機(jī)技術(shù)的發(fā)展和應(yīng)用領(lǐng)域的擴(kuò)充，安全系統(tǒng)也會(huì)變得越來越完善。

參考文獻(xiàn)：

[1] 事故/事故征候調(diào)查和預(yù)防，996/2010號(hào)規(guī)章，歐盟條例.

[2] AC-91-FS-2015-31《輕小無人機(jī)運(yùn)行規(guī)定》[S]. 中國(guó)民用航空局飛行標(biāo)準(zhǔn)司.